Datenschutz: Abmahnungen für die Verwendung von Google Fonts

Ein Beitrag von Björn Thorben M. Jöhnke, Fachanwalt für Versicherungsrecht, Gewerblichen Schutz und Informationstechnologierecht, Jöhnke & Reichow Rechtsanwälte in Partnerschaft mbB

Sie haben ein Anschreiben erhalten, dass Ihnen eine Persönlichkeitsrechtsverletzung im Umgang mit „Google Fonts“ oder ähnlichen Diensten zur Last legen will? So oder so ähnlich lesen sich typischerweise die Schreiben der Abmahnanwälte.

Im Internet betreten die Besucher einer Website die Seiten stets unter Offenbarung ihrer eigenen IP-Adresse, der sogenannten „dynamischen IP-Adresse“. Die Abmahnung zielt auf eine über diese Offenbarung hinaus erfolgte unerlaubte Weitergabe dieser IP-Adresse an Dritte ab. Die Weitergabe (zum Beispiel an Google) erfolgt aber nur dann, wenn die Programmierung der Website so eingestellt ist, dass diese Daten auch tatsächlich – in den meisten Fällen automatisch – an Drittanbieter übermittelt werden.

Nach dem Abmahnungsinhalt soll die erfolgte Weitergabe der IP-Adresse eine Verletzung des allgemeinen Persönlichkeitsrechts nach § 823 Absatz 1 BGB darstellen. Wenn dem so wäre, stünde ein Schadensersatzanspruch des Betroffenen im Raum. Das Recht auf informationelle Selbstbestimmung schützt die Entscheidungsfreiheit des Einzelnen, über die Weitergabe und Verwendung seiner personenbezogenen Daten selbst zu verfügen, bzw. zu entscheiden.

Eine Verletzung des allgemeinen Persönlichkeitsrechts kann dann erfolgt sein, wenn die persönliche IP-Adresse ein geschütztes Datum darstellt. Diese Abmahnmöglichkeit wurde im Wesentlichen durch den EuGH und den BGH und deren Rechtsprechung zu IP-Adressen ermöglicht (EuGH, Urteil vom 19.10.2016 – C‑582/14 und BGH, Urteil vom 16.05.2017 – Az. VI ZR 135/13). Nach Ansicht der vorgenannten Gerichte gibt die IP-Adresse in personenbezogener Weise Aufschluss darüber, dass zu bestimmten Zeiten eine bestimmte Seite abgerufen wurde. Zudem ist die Identität der Person hinter der IP-Adresse feststellbar. Demnach ist die IP-Adresse ein personenbezogenes Datum gem. Art. 4 Nr. 1 DSGVO.

Mithin wäre jedwede Weitergabe ohne Einwilligung eine Verletzung der informationellen Selbstbestimmung und somit des allgemeinen Persönlichkeitsrechts. Dieser Einschätzung folgte auch das LG München und bestätigte damit einen Datenschutzverstoß (LG München, Urt. v. 20.01.2022 – 3 O 17493/20) im Zusammenhang mit „Google Fonts“, nämlich durch die Weitergabe der IP-Adresse an Google ohne Einwilligung des Webseitennutzers.

Das Problem: Die Gestaltung der Internetseite

Es ist üblich und nicht ohne Weiteres ein Verstoß, dass die IP-Adresse des Besuchers für den Betreiber offenbart und hinterlegt wird. Allerdings nutzen viele Websites vorgefertigte Skripte, die bestimmte Funktionen von Drittanbietern beziehen. Prominentes Beispiel sind die „Google Fonts“, welche die Nutzung und Darstellung von Schriftarten auf der eigenen Webseite ermöglichen. Bei entsprechender Gestaltung, beziehungsweise Programmierung der Internetseite werden die IP-Adressen der Besucher automatisch an Google weitergeleitet, so dass die Schriftarten von Google-Servern auf die Webseite geladen werden können.

Diese Weitergabe der IP-Adresse als personenbezogenes Datum (siehe oben) ist damit das „Einfallstor“ und stellt aktuell das Kerngeschäft einiger Abmahnanwälte dar. Schlechterdings ist die Abmahnung einer – auch durch den Webseiteninhaber unbewussten – Weitergabe von IP-Adressen jedoch häufig sogar rechtmäßig. Dieses ist natürlich immer einer Prüfung des Einzelfalls vorbehalten, jedoch lässt sich sehr häufig ein Datenschutzverstoß im Ergebnis bejahen.

In diesen Fällen müsste so dann noch weiter geprüft werden, ob die Abmahnung an sich nicht schon Formfehlern unterliegt, da der Gesetzgeber mittlerweile hohe Anforderungen an das Aussprechen von Abmahnungen gestellt hat. Auch sollte ein etwaiger Schadenersatzanspruch dem Grunde und der Höhe nach begründet werden. Die reine Erwähnung in der Abmahnung, dass ein solcher Anspruch einfach besteht, reicht nicht aus.

Handlungsempfehlung für Webseitenbetreiber

Vordergründig sollte die Rechtsprechung des EuGH und des BGH (siehe oben) die Datenschutzinteressen der Bürger stärken. Mittlerweile hat sich hieraus aber ein strukturelles Abmahngeschäft entwickelt. Es empfiehlt sich zwingend die eigene Internetpräsenz datenschutzrechtlich zu überprüfen und sicher zu gestalten, aus aktuellem Anlass.

Ebenfalls sollte auf die Weitergabe von IP-Adressen und sonstigen Daten an Drittanbieter gänzlich zu verzichtet werden. Technisch gesehen gibt es auch Möglichkeiten etwaige Schriftarten auf lokalen Servern zu speichern, so dass eine Datenweitergabe nicht mehr notwendig ist.

Wurden also tatsächlich Services von Drittanbietern genutzt und gelangen hierdurch die IP-Adresse eines Besuchers an einen Drittanbieter, kann es angebracht sein in den „sauren Apfel zu beißen“, die Abmahnung „zu erledigen“ und sich dem eigentlichen Kerngeschäft in Zukunft datenschutzoptimiert zu widmen. Letztlich kann die Abmahnung im Einzelfall im Einklang mit der EuGH- und BGH-Rechtsprechung stehen und damit rechtmäßig sein.

Jedoch sollte eine Abmahnung stets im Einzelfall juristisch überprüft werden und gesetzte Fristen zwingend eingehalten werden. Denn es sind nicht nur rechtmäßige Abmahnungen „im Umlauf“, sondern auch unrechtmäßige. Und genau dieses sollte immer geprüft werden, bevor möglicherweise unberechtigte Forderungen erfüllt werden.

Allgemeine Handlungsempfehlungen bei Abmahnungen können HIER nachgelesen werden. Webseiten können bzgl. etwaiger Datenschutzverstöße mit den folgenden Skripten überprüft werden:

• https://webbkoll.dataskydd.net/de/
• https://sicher3.de/google-fonts-checker/

Für Unternehmer, die eine eigene Webseite betreiben, besteht also zwingend Handlungsbedarf, aus gegebenem Anlass.

Über diese vorgenannte Problematik sowie viele weitere interessante Rechtsthemen werden die Fachanwälte & Rechtsanwälte der Kanzlei Jöhnke & Reichow auf dem digitalen Vermittler-Kongress 2023 referieren. Die Veranstaltung ist für die Teilnehmenden Vermittler kostenfrei.

Informationen zu Referenten und Agenda sowie Anmeldemöglichkeit gibt es hier.